Non suonerà sconvolgente, ma il report “OpenSource Malware Index” pubblicato all’inizio di aprile da parte di Sonatype che analizza il primo trimestre di questo 2025 racconta di una situazione relativa all’open-source decisamente poco rosea.
Gli fa eco un report del tutto simile pubblicato da IBM dal titolo 2025 IBM X-Force Threat Index: Large-Scale Credential Theft Escalates, Threat Actors Pivot to Stealthier Tactics, i cui dati sono sostanzialmente gli stessi.
Nei primi quattro mesi del 2025 sono stati rilevati ben 17.954 pacchetti open source maligni con un incremento anno su anno nello stesso periodo del 230%, vedere per credere:
-png.png?width=961&height=1971&name=Malware%20index%20Q1%202025-vertical%20(3)-png.png)
La stragrande maggioranza di questi pacchetti, il 56%, sono definiti “Data Exfiltration Malware“, ossia pensati per rubare informazioni sensibili dai sistemi infetti. Un buon 7% invece è composto dai “consueti” criptominer.
Tra i settori maggiormente colpiti, al 66% si piazzano quelle in ambito finanziario, al 14% i governi ed un 7% si riferisce al contesto Energia, Petrolio e Gas.
Brian Fox, Co-fondatore e CTO di Sonatype, commenta così i dati:
The data shows a meaningful change in how ecosystem maintainers are taking action against harmful components, but it also reflects the growing sophistication of threat actors. We have seen a rise in more sophisticated types of open source malware, showing that attackers are innovating in ways that demand ongoing vigilance. You have to block it before it enters the development environment — if open source malware is in your repository, it’s already too late.
I dati mostrano un cambiamento significativo nel modo in cui i manutentori degli ecosistemi stanno agendo contro i componenti dannosi, ma riflettono anche la crescente sofisticazione degli attori delle minacce. Abbiamo osservato un aumento di malware open source sempre più avanzati, segno che gli attaccanti stanno innovando in modi che richiedono una vigilanza costante. Bisogna bloccare queste minacce prima che entrino nell’ambiente di sviluppo — se il malware open source è già nel tuo repository, è troppo tardi.Chiaramente aziende come IBM e Sonatype, che produce software (per la maggioranza – e grazie al cielo – open-source) per la protezione dei sistemi, non diranno mai che una situazione simile sia normale, ma la realtà è che i numeri non raccontano nulla di estremamente nuovo.
Certo, i dati sulla crescita della sofisticazione degli attacchi (merito dell’AI forse?) e la stima sul 50% dei repository non protetti e già compromessi sono certamente rilevanti, ma la protezione da queste minacce parte principalmente dall’applicazione dell’approccio shift-left di cui tanto si parla, senza mai però vederlo applicato.
Fintanto che la protezione delle supply chain verrà ritenuta inutile non ci saranno software, aziende produttrici o esperti di sicurezza che tengano.
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
English (US)